【腾讯云的1001种玩法】一分钟加固你的腾讯云Linux主机

鉴于腾讯云主机因弱口令频繁被入侵，通过加固可以避免高危端口暴露在外。

QQ密码账号安全

1. 不使用个人QQ账号申请自研业务腾讯云主机。
2. 能够管理腾讯云的QQ 密码需要符合强密码要求，为避免撞库攻击，不得在其他地方使用过。

Linux服务器SSH安全设置

为避免服务器被爆破SSH

1. 不得使用12345678 football等容易猜到、以及基于键盘移位 !QAZ2wsx 等弱口令。
2. 避免使用密码，使用证书登录。 选定一台能够访问公网的运维机作为跳板机执行 cd; ssh-keygen –t rsa 生成密钥对。执行cat .ssh/id_rsa.pub 显示并复制公钥内容。

建议第一种方法：在腾讯云官网添加SSH密钥

关闭云主机后，将密钥绑定到你的主机实例。腾讯云将会自动关闭SSH密码登录并开启证书登录。

第二种方法：命令行添加公钥 （记得将公钥保存一份）

在跳板机输入 cat .ssh/id_rsa.pub | ssh root@1.2.3.4 'cat >> .ssh/authorized_keys'

或者登录上Linux服务器后直接追加.ssh/authorized_keys

使用安全组限制服务器流量出入

为避免服务器被爆破扫描，或限制访问高危服务，或者避免不小心开放高危端口，建议对服务器实施安全组策略，根据业务需要限制网络出入流量。

如图所示，腾讯云已经自带一些安全组，默认都是全开的策略，会导致安全工单的爆发。例如一台默认配置的Windows Server服务器扫描结果：

第一步：根据业务特性，先从一个自带安全组克隆出来。注意选定服务器所在地区

然后编辑如图： 所有ICMP是允许，然后3389限定公司办公网出口可访问，然后剩下所有互联网流量全丢掉。如果你还有80或者8080 需要对外提供服务，就插入一条80 或者8080 的TCP策略，允许0.0.0.0/0

然后记得检查 “出站规则” ，最顶部要允许，要不然就访问不了外网。保存。

最后在云主机列表配置安全组，勾选刚才配置的安全组，再取消勾选默认的安全组。Done

入侵检测组件安装

前提是使用64bit Linux ；安装

wget wget mirrors.tencentyun.com/install/sec/agent.zip && unzip  agent.zip && sh install.sh

查看状态

sh /usr/local/sa/agent/restart.sh &&  sh /usr/local/sa/agent/check.sh